CAS单点登录-关于服务器超时以及客户端超时的分析 （十）

一般情况下，当用户登录一个站点后，如果长时间没有任何动作，当用户再次单击时，会被强制登出并跳转到登录页面，提醒用户重新登录。

现在我已经为站点整合了CAS，并且已经实现了单点登录以及单点注销，那么当用户使用过程中，发生了超时的情况，估计也是自动强行登出了吧，而且其他部署了CAS的站点也跟着自动登出。
上面的是猜想，那么实际情况到底是什么样的？

CAS-Client客户端超时时间其实就是项目session的有效时间，默认：30分钟，（springboot2x）可修改配置：

验证方法：

a 事前准备：

b 验证动作：

2分钟后，我优先单击webApp1的网页，仿佛没有发生任何与超时相关的处理，依然可以正常访问所有页面。并没有强制跳转到登录页。我再单击webApp2的网页，也可以正常浏览。
又过了2分钟，我优先单击webApp2的网页，可以正常访问。再此单击webApp1，也可以正常访问。

c 验证结果：

cas服务器超时主要指的是TGT（ticket granting ticket）超时，如果TGT时间到期，则需要进行重新登录。默认是2小时。这里单位是秒

验证方法：

a 事前准备：

b 验证动作：

3分钟后，CAS-Server应该已经超时了，这时我访问webApp1，可以正常访问。访问webApp2，也可以正常访问。

6分钟后，CAS-server与webApp1应该都超时了，这时访问webApp1，页面被强制重定向到登录页面了。再访问webApp2，发现仍然可以正常访问。

11分钟后，webApp2页超时了，这时访问webApp2，页面就被重定向到登录页面了。

c 验证结果：

3一个客户端超时并不会影响其他客户端的正常访问。

从上面两个验证可以发现，一旦客户端通过CAS-Server认证后，客户端就相当于完全独立了，即使再访问客户端的页面，客户端与CAS-Server之间也不会再发生任何交互或者验证动作。
一直到客户端强制退出或者超时后，才会主动发起认证请求，CAS-Server才会被动处理请求，判断是需要重定向还是重新认证通过。

也就是说，如果服务器超时时间设置的过短，并不会起作用，还是要等客户端超时才行。

鉴于以上结论，客户端和服务器的超时时间设置应该为：
CAS-Server（TGT）超时时间 >= CAS-Client的超时时间

从之前的验证来看，一个站点超时，并不影响其他站点的正常访问。

CAS-Server和CAS-Client超时结果图：

这种情况大多是系统原因造成的因为你现在无法正常远程登录系统去检查所以只能找服务商协助你,让机房进系统检查或者是直接让服务商帮你重装下系统问题自然会解决
海腾数据杨闯为你解答

粗略地分析， 登录机制主要分为登录验证、登录保持、登出三个部分。登录验证是指客户端提供用户名和密码，向服务器提出登录请求，服务器判断客户端是否可以登录并向客户端确认。 登录认保持是指客户端登录后， 服务器能够分辨出已登录的客户端，并为其持续提供登录权限的服务器。登出是指客户端主动退出登录状态。容易想到的方案是，客户端登录成功后， 服务器为其分配sessionId, 客户端随后每次请求资源时都带上sessionId。
上述简易的登录验证策略存在明显的安全漏洞,需要优化。

客户端第一次发出登录请求时， 用户密码以明文的方式传输， 一旦被截获， 后果严重。因此密码需要加密，例如可采用RSA非对称加密。具体流程如下：

再仔细核对上述登录流程， 我们发现服务器判断用户是否登录， 完全依赖于sessionId, 一旦其被截获， 黑客就能够模拟出用户的请求。于是我们需要引入token的概念： 用户登录成功后， 服务器不但为其分配了sessionId, 还分配了token， token是维持登录状态的关键秘密数据。在服务器向客户端发送的token数据，也需要加密。于是一次登录的细节再次扩展。
在最原始的方案中， 登录保持仅仅靠服务器生成的sessionId: 客户端的请求中带上sessionId, 如果服务器的redis中存在这个id，就认为请求来自相应的登录客户端。 但是只要sessionId被截获， 请求就可以为伪造， 存在安全隐患。

引入token后，上述问题便可得到解决。 服务器将token和其它的一些变量， 利用散列加密算法得到签名后，连同sessionId一并发送给服务器； 服务器取出保存于服务器端的token,利用相同的法则生成校验签名， 如果客户端签名与服务器的校验签名一致， 就认为请求来自登录的客户端。
13 TOKEN失效
用户登录出系统

失效原理：
在服务器端的redis中删除相应key为session的键值对。
App因为要实现自动登陆功能，所以必然要保存一些凭据，所以比较复杂。

App登陆要实现的功能：

这里判断时间，主要是防止攻击者截取到加密串后，可以长久地利用这个加密串来登陆。

不用AES加密，用RSA公钥加密也是可以的。AES速度比RSA要快，RSA只能存储有限的数据。

---